Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ADMINISTRACIÓN ELECTRÓNICA
Política de firma electrónica basada en certificados
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Consejo Superior de
Autor:
Administración Electrónica
Identificador de
2.16.724.1.3.1.1.2.1.8
documento (OID):
Grupo de trabajo:
Versión: V 1.8
Fecha: 11/10/10
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
ÍNDICE
1 INTRODUCCIÓN ................................................................................................................................................ 3
1.1 OBJETO DEL DOCUMENTO ........................................................................................................................................... 4
1.2 REFERENCIAS .............................................................................................................................................................. 5
2 ALCANCE DE LA POLÍTICA DE FIRMA .......................................................................................................... 7
2.1 ACTORES INVOLUCRADOS EN LA FIRMA ELECTRÓNICA ............................................................................................... 8
2.2 FORMATOS ADMITIDOS DE FIRMA ................................................................................................................................ 8
2.3 CREACIÓN DE LA FIRMA ELECTRÓNICA ....................................................................................................................... 9
2.4 VERIFICACIÓN DE LA FIRMA ELECTRÓNICA ................................................................................................................ 10
3 POLÍTICA DE VALIDACIÓN DE FIRMA ELECTRÓNICA .............................................................................. 11
3.1 IDENTIFICACIÓN DEL DOCUMENTO ............................................................................................................................ 11
3.2 PERIODO DE VALIDEZ ................................................................................................................................................ 12
3.3 IDENTIFICACIÓN DEL GESTOR DEL DOCUMENTO ....................................................................................................... 12
3.4 REGLAS COMUNES .................................................................................................................................................... 12
3.4.1 Reglas del firmante ....................................................................................................................................... 12
Formato XAdES .......................................................................................................................................................................... 13
Formato CAdES ......................................................................................................................................................................... 15
3.4.2 Reglas del verificador ................................................................................................................................... 17
3.4.3 Reglas para los sellos de tiempo. ............................................................................................................... 18
3.4.4 Reglas de confianza para firmas longevas ................................................................................................ 19
Formato XAdES .......................................................................................................................................................................... 20
Formato CAdES ......................................................................................................................................................................... 20
3.5 REGLAS DE CONFIANZA DE CERTIFICADOS DE ATRIBUTOS ....................................................................................... 21
3.6 REGLAS DE USO DE ALGORITMOS ............................................................................................................................. 22
3.7 REGLAS ESPECÍFICAS DE COMPROMISOS ................................................................................................................. 22
4 ARCHIVADO Y CUSTODIA .............................................................................................................................. 22
5 GESTIÓN DE LA POLÍTICA DE FIRMA .......................................................................................................... 24
6 ANEXO 1: ESTRUCTURA DE LA FIRMA ELECTRÓNICA ............................................................................ 25
6.1 FORMATO DE FIRMA ELECTRÓNICA AVANZADA BÁSICO XADES EPES ................................................................... 25
6.2 FORMATO DE FIRMA ELECTRÓNICA AVANZADA BÁSICO CADES EPES ................................................................... 26
7 ANEXO 2: FORMATO DE FICHEROS Y OBJETOS BINARIOS ADMITIDOS .............................................. 27
7.1 CONSIDERACIONES GENERALES ............................................................................................................................... 27
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
1 Introducción
Para que una firma electrónica pueda ser considera firma electrónica avanzada, de la ley se
infieren los siguientes requisitos:
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
Este documento especifica las condiciones generales aplicables a la firma electrónica para su
validación, en la relación electrónica de la Administración General del Estado (y sus
organismos públicos vinculados o dependientes) con los ciudadanos y entre los órganos y
entidades de la AGE (y sus organismos públicos vinculados o dependientes).
Este documento se circunscribe a los certificados previstos en la Ley 11/2007 expedidos para
su empleo por la Administración General del Estado y los organismos públicos vinculados o
dependientes de ésta y a los sistemas de firma electrónica basados en certificados recogidos
en el artículo 10.1 y 10.2 del RD 1671/2009
En general, una política de firma electrónica es un documento legal que contiene una serie de
normas relativas a la firma electrónica, organizadas alrededor de los conceptos de
generación y validación de firma, en un contexto particular (contractual, jurídico, legal,…),
definiendo las reglas y obligaciones de todos los actores involucrados en dicho proceso. El
objetivo de este proceso es determinar la validez de la firma electrónica para una transacción
en particular, especificando la información que debiera incluir el firmante en el proceso de
generación de la firma, y la información que debiera comprobar el verificador en el proceso
de validación de la misma.
Este documento presenta una estructura normalizada del documento electrónico en relación
con la creación y validación de firma electrónica, según los estándares técnicos europeos,
para facilitar la interoperabilidad de estos documentos, describiendo el alcance y uso de la
firma electrónica con la intención de cumplir las condiciones para una transacción concreta
en el contexto de las relaciones con y entre la Administración Pública.
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
1.2 Referencias
- ETSI TS 101 733, v.1.6.3, v1.7.3 y v.1.8.1. Electronic Signatures and Infrastructures
(SEI); CMS Advanced Electronic Signatures (CAdES).
- ETSI TS 101 903, v.1.2.2, v.1.3.2 y 1.4.1. Electronic Signatures and Infrastructures
(SEI); XML Advanced Electronic Signatures (XAdES).
- ETSI TS 102 778, v 1.1.2. Electronic Signatures and Infrastructures (ESI); PDF
Advanced Electronic Signature Profiles; Part 1: PAdES Overview, Part 2: PAdES Basic
- Profile based on ISO 32000-1, Part 3: PAdES Enhanced - PAdES-BES and PAdES-
EPES Profiles; Part 4: Long-term validation
- ETSI TS 102 176-1 V2.0.0 Electronic Signatures and Infrastructures (ESI); Algorithms
and Parameters for Secure Electronic Signatures; Part 1: Hash functions and
asymmetric algorithms
- ETSI TS 102 023, v.1.2.1 y v.1.2.2. Electronic Signatures and Infrastructures (ESI);
Policy requirements for time-stamping authorities.
- ETSI TR 102 038, v.1.1.1. Electronic Signatures and Infrastructures (SEI); XML format
for signature policies.
- ETSI TR 102 041, v.1.1.1. Electronic Signatures and Infrastructures (SEI); Signature
policies report.
- ETSI TR 102 045, v.1.1.1. Electronic Signatures and Infrastructures (SEI); Signature
policy for extended business model.
- ETSI TR 102 272, v.1.1.1. Electronic Signatures and Infrastructures (SEI); ASN.1
format for signature policies.
- IETF RFC 2560, X.509 Internet Public Key Infrastructure Online Certificate Status
Protocol – OCSP.
- IETF RFC 3161 actualizada por RFC 5816, Internet X.509 Public Key Infrastructure
Time-Stamp Protocol (TSP).
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
- IETF RFC 5280, RFC 4325 y RFC 4630, Internet X.509 Public Key Infrastructure;
Certificate and Certificate Revocation List (CRL) Profile.
- IETF RFC 5652, RFC 4853 y RFC 3852, Cryptographic Message Syntax (CMS).
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
Este documento propone una política de firma electrónica, que detalla las condiciones
generales para la validación de la firma electrónica y una relación de formatos de objetos
binarios y ficheros de referencia que deberán ser admitidos por todas las plataformas
implicadas en las relaciones electrónicas de la Administración con los ciudadanos y con las
Administraciones Públicas.
Esta política marco es global para toda la Administración Pública, y puede convivir junto con
otras políticas particulares para una transacción determinada en un contexto concreto,
siempre basadas en la política marco o global.
La presente política de firma y las políticas de firmas particulares de cada organismo basadas
en esta política marco deberán estar disponibles en formato legible, de modo que puedan ser
aplicadas en un contexto concreto para cumplir con los requerimientos de creación y
validación de firma electrónica.
Las políticas particulares harán referencia al OID y la URL de la política marco de firma
electrónica en la que se inscriben, con indicación expresa de la versión.
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
- Verificador: entidad, ya sea persona física o legal, que valida o verifica una firma
electrónica apoyándose en las condiciones exigidas por una política de firma concreta.
Puede ser una entidad de validación de confianza o una tercera parte que esté
interesada en la validez de una firma electrónica.
El formato de los documentos electrónicos con firma electrónica avanzada, aplicada mediante
los certificados electrónicos admitidos por las Administraciones Públicas y utilizados en el
ámbito de las relaciones con o dentro de la Administración Pública, se deberá ajustar a las
especificaciones de los estándares europeos relativos a los formatos de firma electrónica.
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
Dentro de las distintas clases de los formatos XAdES y CAdES, los órganos y unidades
administrativas de la Administración Pública deberán adecuar sus sistemas para la
generación de, al menos, la clase básica de uno de estos formatos de firma electrónica,
añadiendo información sobre la política de firma (clase EPES), y la verificación de las
especificaciones de la clase básica de todos estos formatos.
La clase básica de firma electrónica para definir una política de firma electrónica de
interoperabilidad es según los estándares AdES la clase EPES. A partir de este formato
básico EPES es posible incluir suficiente información para validar la firma a largo plazo.
Si fuese necesario generar firmas con la intención de validarse a largo plazo, se debería
implementar un formato que incorporase propiedades adicionales, como información sobre
revocación de certificados.
Las plataformas que presten el servicio de creación de firma electrónica deberán cumplir las
siguientes características:
1
A lo largo de este documento se utilizarán los prefijos ds: y xades: para hacer referencia a elementos
definidos en los estándares XMLDSig y XAdES, respectivamente.
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
1. El usuario puede seleccionar un fichero, formulario u otro objeto binario para ser
firmado (ver Anexo2 para saber los formatos de ficheros que deberán ser admitidos
por las distintas plataformas). En el caso de firma de formulario, se le suele presentar
al usuario el objeto binario a ser firmado, sin necesidad de selección previa.
a. Si la firma electrónica puede ser validada para el formato del fichero específico
que vaya a ser firmado, según la presente política o su política de firma
particular correspondiente.
b. Si los certificados han sido expedidos bajo una Declaración de Políticas de
Certificación específica.
c. Comprobación de la validez del certificado: si el certificado ha sido revocado, o
suspendido, si entra dentro del periodo de validez del certificado, y la validación
de la cadena de certificación (incluidos la validación de todos los certificados en
la cadena).
Si no se pueden realizar estas comprobaciones en el momento de la firma (por
ejemplo para firmas en cliente sin acceso a servidor), en todo caso será necesario que
los sistemas lo comprueben antes de aceptar el fichero, formulario u otro objeto binario
firmado.
El servicio creará un fichero en formato XAdES o CAdES para aquellos escenarios en los
que sea conveniente.
Se recomienda que el fichero resultante tenga una extensión única de forma que los
visores de documentos firmados puedan asociarse a esa extensión, haciendo más
fácil al usuario el manejo de este tipo de ficheros. Esta extensión podría ser:
El verificador puede utilizar cualquier método para verificar la firma creada según la presente
política. Las condiciones mínimas que se deberán producir para validar la firma serán las
siguientes:
1. Garantía de que la firma es válida para el fichero específico que está firmado.
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
En este apartado se especifican las condiciones que se deberán considerar por parte del
firmante, en el proceso de generación de firma electrónica, y por parte del verificador, en el
proceso de validación de la firma.
2
Los dos últimos dígitos del identificador definirán las diferentes versiones de la política de firma.
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
La presente Política de Firma Electrónica es válida desde la fecha de expedición del apartado
anterior hasta la publicación de una nueva versión actualizada, pudiéndose facilitar un
periodo de tiempo transitorio, en el cual convivan las dos versiones, que permita adecuar las
diferentes plataformas de las administraciones públicas a las especificaciones de la nueva
versión. Este periodo de tiempo transitorio deberá indicarse en la nueva versión, pasado el
cual sólo será válida la versión actualizada.
Las reglas comunes para los actores involucrados en la firma electrónica, firmante y
verificador, son un campo obligatorio que debe aparecer en cualquier política de firma.
Permiten establecer responsabilidades respecto a la firma electrónica sobre la persona o
entidad que crea la firma y la persona o entidad que la verifica, definiendo los requisitos
mínimos que deben presentarse, debiendo estar firmados, si son requisitos para el firmante,
o no firmados, si son requisitos para el verificador.
El firmante se hará responsable de que el fichero que se quiere firmar no contiene contenido
dinámico que pudiese modificar el resultado de la firma durante el tiempo. Si el fichero que se
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
quiere firmar no ha sido creado por el firmante, deberá asegurarse que no existe contenido
dinámico dentro del fichero, como pueden ser macros.
Formato XAdES
En el anexo 1 se detalla la estructura básica que debe tener una firma electrónica para poder
ser considerada válida por el verificador.
Asi mismo se admitirán las firmas XAdES enveloped. En el caso de factura electrónica se
acuerda asumir el modo actualmente implementado, de acuerdo con el formato Facturae
regulado en la Orden PRE/2971/2007; es decir, la firma se considera un campo más a añadir
en el documento de factura.
3
Si el formato del documento original fuese un fichero que contenga sólo texto (fichero XML), no sería precisa
su codificación en base64.
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
<xades:SigPolicyId>
<xades:Identifier> ... </xades:Identifier>
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
Formato CAdES
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
estándares CMS (IETF RCF 5652) y CAdES (ETSI TS 101 733), que mantiene el
documento original y la firma en un mismo fichero.
• Las siguientes etiquetas deberán ser firmadas y son de carácter opcional, sin perjuicio de
que puedan ser considerados obligatorias en políticas particulares:
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
Los atributos que podrá utilizar el verificador para comprobar que se cumplen los requisitos
de la política de firma según la cual se ha generado la firma, independientemente del formato
utilizado (XAdES o CAdES), son las siguientes:
- Signing Certificate: se utilizará para comprobar y verificar el estado del certificado (y,
en su caso, la cadena de certificación) en la fecha de la generación de la firma, en el
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
Si se han realizado varias firmas del mismo documento, se seguirá el mismo proceso de
verificación que con la primera firma, comprobando la etiqueta Counter Signature en el
campo de propiedades no firmadas, donde se informa de los refrendos de firma generados.
Será menester del encargado de la verificación de la firma definir sus procesos de validación
y de archivado según los requisitos de la política de firma particular a la que se ajusta el
servicio.
El sello de tiempo asegura que tanto los datos originales del documento que va a ser sellado
como la información del estado de los certificados, en caso de que se hayan incluido en la
firma electrónica,se generaron antes de una determinada fecha. El formato del sello de
tiempo deberá cumplir las recomendaciones de IETF, RFC 5816, “Internet X.509 Public Key
Infrastructure; Time-Stamp Protocol (TSP)”.
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
2. Tipo de solicitud cursada (si es un valor hash o un documento, cuál es su valor y datos
de referencia).
5. Firma digital de todo lo anterior con la clave pública y esquema de firma digital
especificados.
Los estándares CAdES (ETSI TS 101 733) y XAdES (ETSI TS 101 903) contemplan la
posibilidad de incorporar a las firmas electrónicas información adicional para garantizar la
validez de una firma a largo plazo, una vez vencido el periodo de validez del certificado. Esta
información puede ser incluida tanto por el firmante como por el verificador, y se recomienda
hacerlo después de trascurrido el periodo de precaución o periodo de gracia. Existen dos
tipos de datos a incluir como información adicional de validación:
- la información del estado del certificado en el momento en que se produce la
validación de la firma o una referencia a los mismos.
- certificados que conforman la cadena de confianza
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
Formato XAdES
Dentro del formato de firma XAdES, el formato extendido XAdES-C incorpora estas entre
otras propiedades no firmadas:
Formato CAdES
Dentro del formato de firma CAdES, el formato extendido CAdES-C incorpora dos atributos:
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
En el caso que se esté próximo a la caducidad del sello de tiempo añadido para construir la
firma longeva, se puede transformar la firma CAdES-X Long type 1 o CAdES-X Long type 2,
en una firma CAdES-A, añadiendo un sellado de tiempo de archivo a la firma anterior.
Esta política de firma no fija ninguna regla específica respecto a los certificados de atributos.
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
La presente política admite como válidos los algoritmos de generación de hash, codificación
en base64, firma, normalización y transformación definidos en los estándares XMLDSig y
CMS.
Para los entornos de alta seguridad, de acuerdo con el criterio del Centro Criptológico
Nacional, CCN, serán de aplicación las recomendaciones revisadas de la CCN-STIC 405.
Se podrán utilizar cualquiera de los siguientes algoritmos para la firma electrónica: RSA/SHA
1 (formato que se recomienda reemplazar en el medio plazo por algoritmos más robustos),
RSA/SHA256 y RSA/SHA512 que es recomendado para archivado de documentos
electrónicos (very long term signatures).
4 Archivado y custodia
Para garantizar la fiabilidad de una firma electrónica a lo largo del tiempo, esta deberá ser
complementada con la información del estado del certificado asociado en el momento en que
la misma se produjo y/o información no repudiable incorporando un sello de tiempo, así como
los certificados que conforman la cadena de confianza.
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
Esto implica que si queremos tener una firma que pueda ser validada a lo largo del tiempo, la
firma electrónica que se genera ha de incluir evidencias de su validez para que no pueda ser
repudiada. Para este tipo de firmas deberá existir un servicio que mantenga dichas
evidencias, y será necesario solicitar la actualización de las firmas antes de que las claves y
el material criptográfico asociado sean vulnerables.
Las condiciones que se deberán dar para considerar una firma electrónica longeva son las
siguientes:
a. Obtener las referencias a los certificados, así como almacenar los certificados
del firmante.
Para proteger la firma electrónica frente a la posible obsolescencia de los algoritmos y poder
seguir asegurando sus características a lo largo del tiempo de validez, se deberá seguir uno
de los siguientes procesos, de acuerdo con las especificaciones técnicas para firmas
electrónicas de tipo CAdES, o XAdES:
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
Este anexo incluye la estructura básica que se deberá seguir para la generación de una firma
electrónica:
<ds:Signature ID ? >
<ds:SignedInfo>
<ds:CanonicalizationMethod/>
<ds:SignatureMethod/>
(<ds:Reference URI ? >
(<ds:Transforms/>) ?
<ds:DigestMethod/>
<ds:DigestValue/>
</ds:Reference>) +
</ds:SignedInfo>
<ds:SignatureValue/>
(<ds:KeyInfo>) ?
<ds:Object>
<QualifyingProperties>
<SignedProperties>
<SignedSignatureProperties>
SigningTime
SigningCertificate
SignaturePolicyIdentifier
(SignatureProductionPlace) ?
(SignerRole) ?
</SignedSignatureProperties>
<SignedDataObjectProperties>
DataObjectFormat +
(CommitmentTypeIndication) *
(AllDataObjectsTimeStamp) *
(IndividualDataObjectsTimeStamp) *
</SignedDataObjectProperties>
</SignedProperties>
<UnsignedProperties>
<UnsignedSignatureProperties>
(CounterSignature) *
</UnsignedSignatureProperties>
<UnSignedDataObjectProperties>
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
</UnSignedDataObjectProperties>
</UnsignedProperties>
</QualifyingProperties>
</ds:Object>
</ds:Signature>
BEGIN
IMPORTS
-- RFC 5035 Enhanced Security Services (ESS) Update: Adding CertID Algorithm Agility
id-aa-signingCertificatev2
FROM ExtendedSecurityServices-2006 { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9
(9) smime(16) modules(0) id-mod-ess-2006(30) }
-- ETSI TS 101 733 V1.7.3 (2007-01) CMS Advanced Electronic Signatures (CAdES).
id-aa-ets-sigPolicyId, SignaturePolicy, SignaturePolicyId,
id-aa-ets-commitmentType, CommitmentTypeIndication, CommitmentTypeId,
id-aa-ets-signerLocation, SignerLocation,
id-aa-ets-signerAttr, SignerAttribute,
id-aa-ets-contentTimestamp, ContentTimestamp
FROM ETS-ElectronicSignatureFormats-ExplicitSyntax97 { iso(1) member-body(2) us(840)
rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-mod(0) eSignature-explicit97(29) }
;
...
END
GRUPO DE
IDENTIFICACIÓN Y
AUTENTICACIÓN
Este marco de condiciones generales sobre los formatos de fichero de referencia a admitir
por las plataformas de relación electrónica de la Administración Pública Estatal con los
ciudadanos y con las Administraciones públicas pretende establecer unas consideraciones
generales así como la relación de formatos de fichero y objetos binarios que deberán ser
admitidos por todas las plataformas para facilitar su interoperabilidad. No obstante lo anterior,
estas plataformas podrán admitir otros formatos de acuerdo con las necesidades específicas
que en cada caso se planteen.
• Sólo se deberían admitir formatos estables que gozaran de la aceptación general y tuvieran
una expectativa de vida larga. La evolución de los formatos debería mantener
compatibilidad con los formatos anteriores.
• Habría que evitar documentos que tuvieran enlaces a otros documentos externos ya que
debieran ser autocontenidos. Se considerará como una excepción el caso de los esquemas
de validación asociados a formatos XML.